IT Crowd Club Liechtenstein

Modernes Passwort Management

Wer kennt das nicht, Login im Online-Shop des Vertrauens und das Passwort nicht zur Hand oder wieder vergessen. In der Flut von Passwörtern ist es heutzutage schwierig den Überblick zu behalten.

In vielen Fällen wird daher ein Standardpasswort, das meist sehr einfach ist, gewählt. Dies vereinfacht zwar das Handling mit den unterschiedlichen Diensten im Internet, birgt aber auch die Gefahr, dass dieses einfache Passwort mit wenig Aufwand geknackt werden kann. Meist reicht das Standardpasswort auch nicht für alle Online-Dienste aus, da unterschiedliche Richtlinien für die Passwörter gelten, sprich man ist wieder an der Stelle an der man sich mehrere Passwörter merken muss.

Um sich das Leben mit den unzähligen Passwörtern ein wenig zu vereinfachen, stehen einem diverse Tools zur Verfügung, ein Beispiel hierzu ist Keepass.

Viele dieser Programme haben auch eine Version für iOS, Android oder Windows Phone. Zusammen mit den Diensten der iCloud, Dropbox, Google Drive, etc. bieten diese eine komfortable Weise, um die einzelnen Passwörter verschlüsselt in einer zentralen Datenbank zu speichern. Diese Datenbank kann dann in der Cloud abgelegt werden. Durch die zentrale Speicherung der Datenbank in der Cloud, sind auf allen Geräten, auf denen man die entsprechende Software installiert hat, alle Passwörter synchron. Wird z.B. per iPhone ein neues Passwort eingetragen, ist es sofort auf dem PC zuhause verfügbar.

Man muss sich hier nur noch das Masterpasswort für die Datenbank merken. Nach dem Login in diese Programme stehen einem alle zuvor hinzugefügten Passwörter zur Verfügung. Auf diese Weise kann für jeden Online-Dienst ein sicheres Passwort generiert werden (die Tools unterstützen hier auch bei der Generierung von sicheren Passwörtern).

Wie verwaltet ihr eure Passwörter um nicht den Überblick zu verlieren?

6 Kommentare zu “Modernes Passwort Management

  1. Peter

    Vielen Dank für deinen Beitrag! Ich bin vor ein paar Monaten komplett auf KeePass umgestiegen und bereue es nicht. Meiner Meinung nach im Moment die beste Lösung, da ich KeePass auf meinem Samsung Handy (Android) und dem Windows-Notebook habe, und die Passwort-Datei auf der Dropbox automatisch synchronisiere. So kann ich jederzeit und überall auch offline via Smartphone auf meine Passwörter zugreifen.

    Anders könnte ich die Passwort-Flut wahrscheinlich nicht mehr bewältigen. Was ich persönlich vermehrt verwende, ist der Facebook- oder Google-Account als Login für andere Webdienste zu verwenden anstelle einen neuen Benutzer bei einem neuem IT-Service zu erstellen. So kann ich zentral immer dasselbe Passwort zwar verwenden, kann aber gezielt den Zugriff auf diesen Service bei Verdacht sperren.

    Kennt sich da jemand besser aus? Was für Gefahren bestehen bei dieser Variante? Grundsätzlich finde ich es viel bequemer als 100 verschiedene Accounts und Passwörter zu verwenden. Da wären wir wieder beim Thema Datenschutz vs. Komfort ;-)

  2. Fabian

    Hatte bei dem vielversprechenden Titel irgendwie ein bisschen mehr erwartet. Passwortverwaltung für große Infrastrukturen, Passwortverwaltung im Team, Verschlüsselungsmechanismen beim Ablegen der KeePass-DB in der Cloud, Verwaltung von Public-Keys für Zugriffe via SSH, irgendwas in der Richtung.

    Der Trend weg vom default-Passwort ist nicht mehr wirklich modern. Mit Sicherheit noch lange nicht bei jedem angekommen, aber ebenso sicher auch nicht für jeden relevant.

  3. Fabio

    Hallo Fabian

    Besten Dank für deinen Kommentar, die Punkte die du erwähnt hast finde ich gut und hätten einen eigenen Blogbeitrag verdient.

    Wir werden besprechen ob wir über diese Themen einen separten Beitrag verfassen, um die Problematik und das Handling der Passwortverwaltung in grösseren Firmen, etc. aufzuzeigen.

  4. Jeffrey

    Finde das Thema ebenfalls sehr spannend und würde mich über weitere Beiträge in diese Richtung freuen! Speziell Fragen rund um Multiuser, etc. sind immer sehr interessant. Beispielsweise wenn man im Team zusammen an einem Projekt oder in einem Verein arbeitet.

    Bezüglich deiner Frage, @Peter: Das Ganze basiert auf OpenID: http://en.wikipedia.org/wiki/OpenID#Security – Google übernimmt dir in diesem Fall die Rolle des Passwort-Management. Die Sicherheit hängt daher stark von der Sicherheit von deinem Google Konto ab, da dieses dadurch quasi zum Master-Passwort wird.

    Hier ist sicher mal die 2-step verification zu empfehlen: http://support.google.com/accounts/bin/answer.py?hl=en&answer=180744

  5. Peter

    Auch noch interessant: http://www.heise.de/newsticker/meldung/Vergesst-Passwoerter-Google-schliesst-sich-FIDO-an-1850264.html … Entspricht meiner Meinung, denn im Prinzip identifiziert ein User/Passwort ja nicht den Menschen dahinter, sondern nur dass das Passwort zu dem Benutzer korrekt ist, egal wer es eintippt.

    Es wird schon Richtung biometrischer Erkennung gehen, idealerweise so dass der Mensch hinter dem IT-Gerät immer irgendwie zuverlässig erkannt wird ohne dass dieser eine Aktion auslösen muss.

  6. Fabian

    Idealerweise wäre eine Identifizierung via Key oder eben Kerberos möglich. Geht auch ohne Aktion des Benutzers und ist mal soweit sicher, wie der Schlüssel in niemandes Hände gerät.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.